Windows IIS-ARR 負載平衡器是否與 MAC 綁定 IP 一起運作,還是必須為 ARR 負載平衡伺服器提供虛擬 IP。我指的是這個ARRhttps://docs.microsoft.com/en-us/iis/extensions/configuring-application-request-routing-arr/http-load-balancing-using-application-request-routing。我想檢查這種可行性,因為虛擬 IP 比為 ARR 伺服器取得 MAC 綁定 IP 昂貴得多。
答案1
在乙太網路上使用 TCP/IP,所有 IP 位址都需要進行 mac 綁定才能進行通訊。
「虛擬 ip」與「mac 綁定 ip」只是 ISP 的銷售宣傳,使用乙太網路時,所有 IP 位址實際上都是 mac 綁定的。
所謂的「mac-bound」ip只是ISP網路實現的過濾器,配置為需要預先定義的mac位址才能使用預先定義的ip位址。這是 ISP 確保只有一台電腦正在使用該連接的簡單方法。一種可以透過 NAT 閘道(即位於 ISP 和使用該連接的電腦之間的代理,例如防火牆)輕鬆規避的措施。
因此,IIS/ARR 的功能與「虛擬 IP 連線」伺服器和「Mac 綁定連線」伺服器一樣。事實上,您的伺服器無法區分。然而,ISP 網路部門和ISP 計費部門將看到差異,如果您嘗試將ISP 提供的IP 位址綁定到另一個具有與您的ISP 註冊的MAC 位址不同的MAC 位址的網路介面卡,您也會看到差異。
然而,將伺服器直接連接到網路並不是一種安全的做法。您應該將防火牆直接連接到互聯網,讓它向您的 ISP 提供自己的 MAC 位址並聲明公共 IP 位址,然後將您的 IIS 伺服器連接到該防火牆的內部網絡,並使用內部位址中的私人位址進行配置空間。
使用防火牆中的連接埠轉發,您可以讓內部的 IIS(使用私人位址)可從外部的 Internet(使用公用位址)存取。透過這樣做,您不僅可以以最基本的方式保護您的伺服器,還可以繞過作為「mac 綁定ip 位址」出售給您的ISP 過濾器(ISP 甚至不會看到您伺服器的mac 位址,只會看到防火牆) MAC位址)。在防火牆中使用連接埠轉發,您實際上可以透過「mac 綁定」ip 位址發布幾乎任意數量的伺服器,因為您的 ISP 只會看到防火牆 mac 位址,因為您的伺服器 mac 位址將隱藏在其後面。
這是一種推薦的方法,也是行業最佳實踐(但不是唯一的方法)。但是,您應該查看與您的 ISP 簽訂的協議,看看他們是否限制了您可以透過防火牆發布的伺服器數量,這關係到您的良心和 ISP 的法律部門。